Чтобы смоделировать некоторое поведение, я хотел бы прикрепить зонд к системному вызову и изменить возвращаемое значение при передаче определенных параметров. В качестве альтернативы также было бы достаточно изменить параметры функции до того, как...

Я столкнулся со странным поведением bpf с последним ядром net-next . Со всеми включенными параметрами ядра BPF (включая CONFIG_BPF_JIT_ALWAYS_ON ) и без загруженных каких-либо bpf программ bpftool сообщает следующее: # ./bpftool prog...

Я пытаюсь загрузить программу BPF, которая просто копирует параметр buf из tty_write в стек BPF. Моя программа выглядит следующим образом: #define BUFSIZE 256 SEC("kprobe/tty_write") int kprobe__tty_write(struct pt_regs *ctx, struct file...

Я пишу программу вердикта BPF_PROG_TYPE_SK_SKB для принятия решений о перенаправлении. Как определить направление пакета (вход/выход)? У меня есть доступ к локальным и удаленным port каждого пакета, но я не могу определить, какой из них...

Итак, согласно заголовку, я пытаюсь загрузить программу XDP, когда неожиданно верификатор bpf плюет мне в лицо со знаменитой ошибкой back-edge : libbpf: load bpf program failed: Invalid argument libbpf: -- BEGIN DUMP LOG --- libbpf: back-edge...

Основная проблема в том, что я не могу загрузить код eBPF в сетевой интерфейс (XDP). Я пытаюсь загрузить Raspberry Pi 3 со следующей конфигурацией: Raspbian GNU/Linux 10 (Бастер) Ядро 4.19.50-v7+ Я использую команду ip следующим...

Если я хочу написать программу cBPF, которая фильтрует пакеты icmp, я могу сделать это, выполнив tcpdump с параметром -dd , который Дамп кода сопоставления пакетов в виде фрагмента программы на C. .. см. пример ниже Как я могу...

Я хочу использовать EBPF и поместить зонд в открытый системный вызов, поэтому, когда пользователь хочет открыть определенный файл, я проверяю его имя, и если это целевое имя, я останавливаю его открытие. Единственное, я не знаю, как на самом деле...

Я использую bpf из модуля python bcc, и я хочу, чтобы моя функция probe печатала путь к текущему файлу (своего рода пользовательский упрощенный opensnoop). Как я могу это сделать? Это то, что у меня есть до сих пор: b = BPF(text=""" #include...

Я пишу инструмент BPF, который поддерживает трассировку для каждого процесса, а это значит, что мне понадобится какая-то двумерная структура данных. Чтобы обойти ограничение в 512 байт, я решил, что лучше всего использовать поддерживаемые структуры...